4 октября 2019 г.
Время чтения: 3 минуты

Ищем вирусы на серверах Linux: 5 инструментов для сканирования

Сервера на Linux часто атакуются злоумышленниками. Безусловно, оптимальная настройка файрволла и своевременное обновление системы безопасности помогают отражать подобного рода атаки. Но всё же необходимо быть начеку и проверять, не пробрался ли какой-либо вирус сквозь защиту сервера.

Поговорим об инструментах для Linux, задача которых — сканировать сервера и обнаруживать вирусную активность, взломы и прочие формы вмешательства в их работу.

1. Lynis

Lynis — популярный бесплатный инструмент, который лучше многих справляется с проверкой серверов UNIX-подобных операционных систем. Он способен выявлять не только вредоносное ПО, но и повреждения файлов и ошибки в конфигурации. Также Lynis проверяет качество работы антивирусов, осматривает установленное программное обеспечение и проверяет разрешения на доступ к тем или иным файлам и директориям.

Стоит отметить, что этот инструмент не проводит автоматическое усиление защиты системы, а лишь даёт рекомендации о том, как следует её защитить. Установить самую свежую версию Lynus (2.6.6) можно с помощью следующих команд:

# cd /opt/
# wget https://downloads.cisofy.com/lynis/lynis-2.6.6.tar.gz
# tar xvzf lynis-2.6.6.tar.gz
# mv lynis /usr/local/
# ln -s /usr/local/lynis/lynis /usr/local/bin/lynis

После этого можно начинать проверку сервера таким образом:

# lynis audit system

Чтобы настроить автоматическое сканирование, воспользуйтесь cron:

0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "Lynis Reports of My Server" you@yourdomain.com

2. Chkrootkit

Ещё один бесплатный инструмент для UNIX-подобных систем, который способен обнаруживать руткиты, то есть программы для маскировки вредоносной активности. Chkrootkit выявляет руткиты и бреши в защите с помощью скрипта оболочки и набора специальных программ.

На серверах Debian этот инструмент можно установить, используя эту команду:

$ sudo apt install chkrootkit

А для CentOS алгоритм установки будет такой:

# yum update # yum install wget gcc-c++ glibc-static # wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz # tar –xzf chkrootkit.tar.gz # mkdir /usr/local/chkrootkit # mv chkrootkit-0.52/* /usr/local/chkrootkit # cd /usr/local/chkrootkit # make sense

Для запуска проверки используйте эту команду:

$ sudo chkrootkit OR # /usr/local/chkrootkit/chkrootkit

По итогам проверки вы увидите отчёт. Chkrootkit также можно запускать автоматически с помощью cron:

0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit Reports of My Server" you@yourdomain.com

3. Rootkit Hunter

Этот инструмент прост в использовании и известен своей эффективностью в обнаружении бэкдоров, а также руткитов и другого вредоносного ПО. Он способен очень тщательно сканировать систему, чтобы находить даже мелкие и неочевидные недостатки в защите сервера.

Используйте эту команду для установки Rootkit Hunter на Ubuntu и CentOS:

$ sudo apt install rkhunter # yum install epel-release # yum install rkhunter

Проверка сервера этим инструментом запускается таким образом:

# rkhunter -c

Его настройка с помощью cron также возможна:

0 3 * * * /usr/sbin/rkhunter -c 2>&1 | mail -s "rkhunter Reports of My Server" you@yourdomain.com

4. ClamAV

ClamAV представляет собой популярный кроссплатформенный антивирус, который может обнаруживать самые разные виды вредоносных программ. Больше всего он подходит для работы с серверами электронной почты, но и во всех остальных случаях он будет полезен пользователям Linux. Его преимущество — умение сканировать архивы и сжатые файлы (.zip, .rar, .7z).

Команда для установки ClamAV на Debian:

$ sudo apt-get install clamav

Команда для установки ClamAV на CentOS:

# yum -y update # yum -y install clamav

Проверка запускается следующим образом:

# freshclam # clamscan -r -i DIRECTORY

Здесь вместо «DIRECTORY» необходимо указать папку для сканирования. Опция «-r» означает «рекурсивное сканирование», а «-i» — «показать только заражённые файлы».

5. Linux Malware Detect

Этот инструмент изначально был предназначен для серверов виртуального хостинга, но он хорошо подходит и для систем на базе Linux. Для максимально качественной проверки он может быть интегрирован с сервисом ClamAV.

LMD предлагает подробную отчётность по текущим и прошедшим проверкам, а также он позволяет подключить оповещения об обнаруженных угрозах по электронной почте и обладает рядом других преимуществ.

Чтобы начать его использование, необходимо выполнить определённый алгоритм действий, о котором мы рассказали в отдельной статье.

Типы доменных зон

Резервные копии: для чего они необходимы и как их создавать

Рекомендуем

Домен .SALE: как купить его за 790 ₽ и для каких сайтов использовать

Защита PHP-сайта: зачем подключать услугу «Антивирус для PHP-сайтов» на хостинге

© Джино, 2003–2024. «Джино» является зарегистрированным товарным знаком.
Лицензия на телематические услуги связи № 150549 от 09.03.2017.
Правовая информация Политика конфиденциальности Карта сайта